阿里曹愷：網(wǎng)絡(luò)支付安全性超越銀行

最近，以央視為主的媒體一直在質(zhì)疑互聯(lián)網(wǎng)支付的安全性，各種各樣的測(cè)試與案例讓很多網(wǎng)民產(chǎn)生了擔(dān)憂。2014年6月30日，支付寶召開了安全支付生態(tài)圈發(fā)布會(huì)，小微金福安全產(chǎn)品資深總監(jiān)曹愷介紹了互聯(lián)網(wǎng)支付的風(fēng)控系統(tǒng)和流程設(shè)計(jì)，為整個(gè)互聯(lián)網(wǎng)金融行業(yè)的安全性正名。

安全是科學(xué)也是藝術(shù)，主要解決三個(gè)問題

首先安全是一門科學(xué)，要求精確性，還要求復(fù)雜業(yè)務(wù)邏輯的嚴(yán)密性，還要求跨學(xué)科、跨領(lǐng)域的知識(shí)，它也是一門藝術(shù)。安全背后的大數(shù)據(jù)、知識(shí)、商業(yè)邏輯感知更是藝術(shù)。

安全主要解決幾個(gè)問題：

第一個(gè)，老百姓的安全感的問題，如果沒有感知也不行，覺得自己每天會(huì)被侵犯，這個(gè)時(shí)候是沒有安全的。安全性是什么，實(shí)實(shí)在在的安全，而且安全性要解決的是沒有風(fēng)險(xiǎn)短板，提高支付寶自身的抵抗力，讓黑客、漏洞無處可密。

第二個(gè)很重要的東西是支付寶的反應(yīng)能力，因?yàn)闆]有任何人可以說我不出問題，出現(xiàn)威脅征兆可以快速響應(yīng)、快速解決，降低風(fēng)險(xiǎn)。

第三個(gè)重要的問題是要提高攻擊成本，降低它的收益，提高威脅侵害者他們能夠從中獲得的收益。因?yàn)闆]有這樣的打擊，沒有成本的提高和收益的降低，威脅的動(dòng)機(jī)永遠(yuǎn)存在。

銀行支付安全理念已經(jīng)過時(shí)，移動(dòng)互聯(lián)網(wǎng)安全超越自身體系

支付寶現(xiàn)在的這種安全體系在互聯(lián)網(wǎng)、金融領(lǐng)域，包括銀行，都基于身份認(rèn)證的控制，這一套體系它的理念基本上來自于90年代，國家建立了一套計(jì)算機(jī)保護(hù)等等，它其實(shí)是很好的，大大提升了支付寶國家網(wǎng)民的覆蓋率。中國網(wǎng)銀是最先進(jìn)的，為支付寶創(chuàng)造了非常大的基礎(chǔ)。到了今天，移動(dòng)互聯(lián)網(wǎng)的出現(xiàn)，互聯(lián)網(wǎng)金融的出現(xiàn)，這樣的安全不適應(yīng)了。

支付寶看到越來越多的問題，其實(shí)盜用者他的犯罪行為沒在你的體系里邊，在線下已經(jīng)把欺詐做完了，甚至受害者還配合行使這樣的活動(dòng)，拿著用戶的帳號(hào)、密碼，甚至用戶給的校驗(yàn)碼就可以實(shí)施犯罪了，所以靠原來的模式已經(jīng)不行。所以，支付寶認(rèn)為未來的安全不再是以前只是重視端的思路，它有幾個(gè)特點(diǎn)：第一，通過端去產(chǎn)生數(shù)據(jù)，通過云去部署策略，通過云去識(shí)別風(fēng)險(xiǎn)。第二，用戶的保障，用戶的體驗(yàn)。第三，要注意的是它準(zhǔn)入是要簡單的，因?yàn)橛脩艚灰仔袨閬淼暮芸?，去的也很快，一定要很容易，過程中不能置之不理。

支付寶的安全和風(fēng)險(xiǎn)控制流程是這樣的

基于這樣一套風(fēng)險(xiǎn)的產(chǎn)品和技術(shù)的理念，支付寶建立了一套多層次的閉環(huán)的安全產(chǎn)品技術(shù)體系。

首先一個(gè)用戶想做一筆交易的時(shí)候，進(jìn)到支付寶網(wǎng)站，看到的是什么，其實(shí)可能還什么沒有看到，支付寶就通過一套端的控制體系，幫助用戶保護(hù)環(huán)境的安全，同時(shí)有一套很強(qiáng)有力的系統(tǒng)保護(hù)機(jī)制，這套體系一方面可以幫助支付寶用戶遠(yuǎn)離木馬等等各種各樣的針對(duì)系統(tǒng)攻擊手段。進(jìn)入到第二層次，就是用戶身份認(rèn)證的環(huán)節(jié)，主要解決用戶知道這個(gè)網(wǎng)站是誰，是不是擁有者，大家耳熟能詳?shù)谋容^清楚的是數(shù)據(jù)證書，可能還有動(dòng)態(tài)保密帳號(hào)密碼。

大家不知道的是，支付寶很有意思做過一些研究，現(xiàn)在也在投入使用的是分析發(fā)現(xiàn)一個(gè)人有一些行為，除了社會(huì)行為，生物行為，就是與生俱來不受他控制的一些行為。支付寶發(fā)現(xiàn)用戶熟悉了帳戶和密碼以后，它的敲擊節(jié)奏是非常固定的，這個(gè)大家可以下去試一下，一共18個(gè)字節(jié)，每次擊打鍵盤，松開各有兩個(gè)，這里有35個(gè)節(jié)奏。每個(gè)人都不一樣，大家可以嘗試一下，通過大數(shù)據(jù)智能的分析，支付寶可以很好標(biāo)識(shí)是不是用戶本人，有人看到，但是記不走節(jié)奏。支付寶發(fā)現(xiàn)這個(gè)準(zhǔn)確率超過85%，非常的有幫助，這也是支付寶所說的新的身份認(rèn)證的方式。

通過身份認(rèn)證支付寶解決了你是誰的問題，支付寶在后端幫用戶開始監(jiān)控比較敏感的操作，比如說輸入密碼，或者修改密碼，或者包括支付，會(huì)有一定風(fēng)險(xiǎn)型動(dòng)作的時(shí)候，支付寶有風(fēng)險(xiǎn)的識(shí)別和風(fēng)險(xiǎn)控制體系。

風(fēng)險(xiǎn)識(shí)別可以對(duì)用戶的行為做刻劃，做分析，可以去利用模型和規(guī)則去判斷是不是高危的。一個(gè)簡單的例子，比如三四十歲白領(lǐng)男性用戶，平時(shí)比較關(guān)注家庭，比如買服裝，或者買電商用品，今天想充值游戲卡，其實(shí)這是異常行為，支付寶會(huì)特別關(guān)注，支付寶會(huì)把它作為風(fēng)險(xiǎn)標(biāo)識(shí)出來。支付寶認(rèn)為沒有風(fēng)險(xiǎn)，是可信的，就讓它過了，這個(gè)用戶完全沒有感知，好的用戶支付體驗(yàn)得到了保護(hù)。有風(fēng)險(xiǎn)怎么辦，進(jìn)入第四個(gè)環(huán)節(jié)。

支付寶風(fēng)險(xiǎn)的管控是多層次的管控體系，有幾個(gè)手段可以做。第一，有風(fēng)險(xiǎn)的帳戶保護(hù)起來，第二，有風(fēng)險(xiǎn)，限制它的額度和權(quán)限，第三，支付寶把風(fēng)險(xiǎn)更高的往下面一個(gè)環(huán)節(jié)推送，進(jìn)入到最后一個(gè)環(huán)節(jié)，也就是是一個(gè)深度的關(guān)聯(lián)分析。一些專業(yè)團(tuán)隊(duì)，結(jié)合數(shù)據(jù)系統(tǒng)和非常復(fù)雜的分析體系，把有問題的數(shù)據(jù)跟網(wǎng)站都深入關(guān)聯(lián)，發(fā)現(xiàn)更多有風(fēng)險(xiǎn)的帳戶，發(fā)現(xiàn)更多可能會(huì)被受到損失的帳戶，然后把它保護(hù)起來，這樣每個(gè)層次都會(huì)產(chǎn)出結(jié)果，然后實(shí)施回饋到前面的步驟，這樣就可以有這樣一個(gè)非常強(qiáng)大的體系。

支付寶能夠支持每秒3萬筆交易

支付寶安全支付體系支付寶已經(jīng)做到了每秒3萬筆，這個(gè)數(shù)字意味著什么概念。北京首都機(jī)場(chǎng)，中國最繁忙的機(jī)場(chǎng)，一年客流量八千多萬，通過支付寶這樣的安全產(chǎn)品技術(shù)體系的能力，支付寶可以在45分鐘完成所有北京機(jī)場(chǎng)的安檢。交易一天什么概念，因?yàn)槌杀镜脑?，不需要這么多設(shè)備，增加服務(wù)器，可以讓全中國所有老百姓每天到支付寶這里做一筆交易。

關(guān)于安全的風(fēng)險(xiǎn)和數(shù)據(jù)計(jì)算能力，支付寶有超過20億風(fēng)險(xiǎn)敏感事件的處理能力。這是什么概念，假設(shè)一個(gè)人一天能夠記住十件事，把它變成自己的知識(shí)沉下來，20億需要這個(gè)人需要記60萬年，支付寶可以在一天處理完。

數(shù)據(jù)能力才是安全能力的真正基石

數(shù)據(jù)能力是安全能力的基石，基于大數(shù)據(jù)的防控，要解決五個(gè)層面的能力。第一數(shù)據(jù)的商業(yè)認(rèn)知，你對(duì)數(shù)據(jù)怎么看，怎么知道用什么數(shù)據(jù)解決支付寶的問題。第二數(shù)據(jù)采集，覆蓋多少用戶、終端或者多少種威脅的信息，這是所需要的。第三個(gè)是數(shù)據(jù)計(jì)算，有這么多數(shù)據(jù)怎么算，數(shù)據(jù)的可靠性是不是好，垃圾數(shù)據(jù)是解決不了什么問題。第四個(gè)層面，數(shù)據(jù)的分析能力，你能不能有你的思路，有你智能分析的團(tuán)隊(duì)，把數(shù)據(jù)變成你的知識(shí)、能力。最后是數(shù)據(jù)的應(yīng)用，怎么用，怎么嵌入業(yè)務(wù)環(huán)節(jié)，怎么把數(shù)據(jù)發(fā)揮很重要的作用，這是五個(gè)層面非常關(guān)鍵的能力。

【首發(fā)于百度百家，溝通交流請(qǐng) @馬繼華 或加公眾號(hào)“北國騎士”】

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。